KR20180102884A - Firewall and processing method for packet thereof - Google Patents

Firewall and processing method for packet thereof Download PDF

Info

Publication number
KR20180102884A
KR20180102884A KR1020170029601A KR20170029601A KR20180102884A KR 20180102884 A KR20180102884 A KR 20180102884A KR 1020170029601 A KR1020170029601 A KR 1020170029601A KR 20170029601 A KR20170029601 A KR 20170029601A KR 20180102884 A KR20180102884 A KR 20180102884A
Authority
KR
South Korea
Prior art keywords
packet
content
security policy
address
destination
Prior art date
Application number
KR1020170029601A
Other languages
Korean (ko)
Inventor
하성진
Original Assignee
주식회사 시큐아이
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 시큐아이 filed Critical 주식회사 시큐아이
Priority to KR1020170029601A priority Critical patent/KR20180102884A/en
Publication of KR20180102884A publication Critical patent/KR20180102884A/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0245Filtering by information in the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

According to an embodiment of the present invention, a packet processing method of a firewall comprises the steps of: primarily determining whether a packet is blocked by a content blocking condition including all content IDs and a first security policy including five tuple information of a primary blocking target when the packet is received; extracting content included in the packet only for a packet permitted for transmission by the first security policy; and secondarily determining whether the packet is blocked by matching the content and a content ID of a secondary blocking target included in a second security policy. Therefore, the method can rapidly inspect validity of the packet by using the five tuple information and deep packet inspection (DPI) information.

Description

방화벽 및 이의 패킷 처리 방법{FIREWALL AND PROCESSING METHOD FOR PACKET THEREOF}FIELD AND PROCESSING METHOD FOR PACKET THEREOF FIELD OF THE INVENTION [0001]

본 발명의 실시 예는 방화벽 및 이의 패킷 처리 방법에 관한 것이다.An embodiment of the present invention relates to a firewall and a method for processing the packet.

일반적으로 네트워크와 인터넷 간의 정보보안은 송신측 방향 또는 수신측 방향의 트래픽을 허용 및 차단하는 방화벽에 의해 이루어진다. 네트워크를 이용한 불법적인 접근은 다양한 국가에서 다양한 유해 아이피와 포트를 통해 일어나고 있다. 또한, 이메일, 피싱, 파밍 등의 다양한 공격 방법에 의해 선량한 내부사용자가 악의적인 공격의 주체, 예컨대 좀비 PC, 봇넷 등이 될 수 있으며, 이 같은 환경에서 외부로부터 행해지는 공격과, 내부로부터 이루어지는 악의적 행위(유해 IP로의 접속)가 모두 확인되어야 할 필요가 있다.In general, information security between a network and the Internet is provided by a firewall that allows and blocks traffic in the direction of the sender or receiver. Unauthorized access using a network is occurring through various harmful IPs and ports in various countries. In addition, a good internal user may be a subject of a malicious attack such as a zombie PC, a botnet, etc. by various attack methods such as email, phishing, and pharming. In such an environment, an attack from the outside, a malicious The action (connection to the harmful IP) needs to be confirmed.

종래의 방화벽 장치로서는, 단순하게 송신지 IP주소, 목적지 IP주소, 프로토콜, 송신지 프로토콜 포트, 목적지 프로토콜 포트로 구성된 5 튜플(Tuple) 정보를 기초로하여 유입되는 패킷을 처리하는 방화벽 장치와, 5 튜플 정보와 더불어 DPI(Deep Packet Inspection)기술을 활용하여 패킷의 내부(PDU: Protocol Data Unit) 내용을 바탕으로 포함된 내용 기반으로 패킷을 처리하는 고가의 방화벽 장치로 구분된다.Conventional firewall devices include a firewall device for processing incoming packets based on five tuple information consisting of a source IP address, a destination IP address, a protocol, a destination protocol port, and a destination protocol port; Expensive firewall devices that process packets based on the contents of PDUs (Protocol Data Unit) using DPI (Deep Packet Inspection) technology in addition to tuple information.

단순히 5 튜플 정보를 기초로한 방화벽 장치는 5 튜플 정보가 포함된 항목별 기본 정책 및/또는 한가지 이상의 혼합 정책으로 유입 패킷을 처리하며, 방화벽 관리자는 사전에 5 튜플 정보를 이용하여 정책을 수립하고 이를 방화벽 장치에 반영한다.A firewall device based solely on 5 tuple information processes an incoming packet with a basic policy and / or one or more blending policies for each item including 5 tuple information, and the firewall administrator sets policies by using 5 tuple information in advance And reflects it to the firewall device.

한편, 고가의 DPI 기술을 이용하는 방화벽 장치인 경우, 패킷의 내부 내용을 확인하여야 하기 때문에 패킷을 빠르게 처리할 수 있는 고속의 패킷 프로세서가 일반적으로 사용된다. On the other hand, in the case of a firewall device using expensive DPI technology, a high-speed packet processor that can quickly process a packet is generally used because the contents of the packet must be checked.

본 발명이 이루고자 하는 기술적인 과제는, 5 튜플 정보와 DPI 정보를 이용하여 패킷의 유효성을 빠른 속도로 검사할 수 있는 방화벽 및 이의 패킷 처리 방법을 제공하는 것이다.SUMMARY OF THE INVENTION It is a technical object of the present invention to provide a firewall and its packet processing method capable of rapidly checking the validity of a packet using 5-tuple information and DPI information.

본 발명의 실시 예에 따른 방화벽의 패킷 처리 방법은, 패킷이 수신되면, 모든 컨텐츠 ID를 포함하는 컨텐츠 차단 조건과 1차 차단 대상의 5 튜플(5 TUPLE) 정보를 포함하는 제1 보안정책에 따라 상기 패킷의 차단 여부를 1차적으로 결정하는 단계와, 상기 제1 보안정책에 의해 전달이 허용된 패킷에 한하여 상기 패킷에 포함된 컨텐츠를 추출하는 단계와, 상기 컨텐츠와 제2 보안정책에 포함된 2차 차단 대상의 컨텐츠 ID를 매칭하여 상기 패킷의 차단 여부를 2차적으로 결정하는 단계를 포함한다.A packet processing method of a firewall according to an exemplary embodiment of the present invention is a method of processing a packet according to a first security policy including a content blocking condition including all content IDs and five tuple information of a first blocking target The method comprising the steps of: firstly determining whether the packet is blocked; extracting contents included in the packet only for a packet permitted to be transmitted according to the first security policy; And secondarily determining whether to block the packet by matching the content ID of the secondary blocking object.

실시 예에 따라, 상기 패킷의 차단 여부를 1차적으로 결정하는 단계는, 세션 관리를 통해 상기 패킷이 유효한 것으로 인증되면 수행될 수 있다.According to an embodiment, the step of primarily determining whether to block the packet may be performed when the packet is authenticated as valid through session management.

실시 예에 따라, 상기 제1 보안정책은 상기 1차 차단 대상에 대한 소스 IP 주소, 소스 포트, 목적지 IP 주소, 목적지 포트, 모드 정보, 및 상기 모든 컨텐츠 ID를 포함하는 상기 컨텐츠 차단 조건을 포함할 수 있다.According to an embodiment, the first security policy includes the content blocking condition including a source IP address, a source port, a destination IP address, a destination port, mode information, and all the content IDs for the primary blocking object .

실시 예에 따라, 상기 패킷의 차단 여부를 1차적으로 결정하는 단계는, 상기 패킷에 포함된 상기 컨텐츠와 상관없이, 상기 패킷에 포함된 식별 정보가 상기 소스 IP 주소, 상기 소스 포트, 상기 목적지 IP 주소, 상기 목적지 포트, 및 상기 모드 정보와 매칭되는 경우, 상기 패킷을 차단할 수 있다.According to an embodiment of the present invention, the step of primarily determining whether to block the packet may include: determining whether the identification information included in the packet is included in the source IP address, the source port, the destination IP Address, the destination port, and the mode information, the packet may be blocked.

실시 예에 따라, 상기 제2 보안정책은 상기 2차 차단 대상의 상기 컨텐츠 ID와, 상기 2차 차단 대상에 대한 소스 IP 주소, 소스 포트, 목적지 IP 주소, 목적지 포트, 및 모드 정보를 포함할 수 있다.According to an embodiment, the second security policy may include the content ID of the secondary blocking object, the source IP address, source port, destination IP address, destination port, and mode information for the secondary blocking object have.

실시 예에 따라, 상기 패킷의 차단 여부를 2차적으로 결정하는 단계는, 상기 컨텐츠와 상기 컨텐츠 ID가 매칭되지 않는 경우, 상기 패킷을 허용할 수 있다.According to an embodiment, the step of secondarily determining whether to block the packet may allow the packet if the content and the content ID do not match.

실시 예에 따라, 상기 패킷의 차단 여부를 2차적으로 결정하는 단계는, 상기 컨텐츠가 상기 컨텐츠 ID가 매칭되는 경우, 상기 컨텐츠를 포함하는 상기 패킷을 차단할 수 있다.According to an embodiment of the present invention, the step of secondarily determining whether to block the packet may block the packet including the content when the content matches the content ID.

실시 예에 따라, 상기 패킷의 차단 여부를 2차적으로 결정하는 단계는, 상기 컨텐츠와 상기 컨텐츠 ID가 매칭되는 경우, 상기 패킷에 포함된 식별 정보와 상기 소스 IP 주소, 상기 소스 포트, 상기 목적지 IP 주소, 상기 목적지 포트, 및 상기 모드 정보를 매칭하고, 상기 식별 정보가 상기 소스 IP 주소, 상기 소스 포트, 상기 목적지 IP 주소, 상기 목적지 포트, 및 상기 모드 정보와 매칭되는 경우, 상기 패킷을 차단할 수 있다.According to an embodiment of the present invention, the step of secondarily determining whether to block the packet may include: determining whether the content and the content ID are matched with each other based on the identification information included in the packet and the source IP address, Address, the destination port, and the mode information, and when the identification information matches the source IP address, the source port, the destination IP address, the destination port, and the mode information, have.

본 발명의 다른 실시 예에 따른 방화벽은, 모든 컨텐츠 ID를 포함하는 컨텐츠 차단 조건 및 1차 차단 대상의 5 튜플 정보를 포함하는 제1 보안정책과, 2차 차단 대상의 컨텐츠 ID를 포함하는 제2 보안정책에 따라, 패킷의 차단 여부를 결정하는 보안정책 검사부와, 상기 패킷에 포함된 컨텐츠를 추출하는 컨텐츠 인지부를 포함하고, 상기 보안정책 검사부는, 상기 제1 보안정책에 따라 상기 패킷의 차단 여부를 결정한 후, 전달이 허용된 패킷에 한하여 상기 제2 보안정책에 따라 상기 패킷의 차단 여부를 결정한다.The firewall according to another embodiment of the present invention may include a first security policy including content blocking conditions including all content IDs and five tuple information of a first blocking target, A security policy checking unit for determining whether a packet is blocked according to a security policy; and a content detecting unit for extracting content included in the packet, wherein the security policy checking unit checks whether the packet is blocked according to the first security policy And determines whether to block the packet according to the second security policy only for the packet that is permitted to be transmitted.

실시 예에 따라, 상기 패킷의 유효성을 판단하여 유효한 것으로 인증된 패킷만을 상기 보안정책 검사부에 제공하는 세션관리부를 더 포함하는 방화벽.Further comprising a session management unit for determining the validity of the packet and providing only the packet authenticated as valid to the security policy checking unit according to the embodiment.

실시 예에 따라, 상기 제1 보안정책은 상기 1차 차단 대상에 대한 소스 IP 주소, 소스 포트, 목적지 IP 주소, 목적지 포트, 모드 정보, 및 상기 모든 컨텐츠 ID를 포함하는 상기 컨텐츠 차단 조건을 포함할 수 있다.According to an embodiment, the first security policy includes the content blocking condition including a source IP address, a source port, a destination IP address, a destination port, mode information, and all the content IDs for the primary blocking object .

실시 예에 따라, 상기 보안정책 검사부는, 상기 패킷에 포함된 식별 정보와 상기 제1 보안정책을 매칭하고, 상기 식별 정보와 상기 제1 보안정책이 매칭되는 경우, 상기 패킷을 차단할 수 있다.According to an embodiment, the security policy checking unit may match the identification information included in the packet with the first security policy, and may block the packet if the identification information matches the first security policy.

실시 예에 따라, 상기 제2 보안정책은 상기 2차 차단 대상에 대한 소스 IP 주소, 소스 포트, 목적지 IP 주소, 목적지 포트, 및 모드 정보를 더 포함할 수 있다.According to an embodiment, the second security policy may further include a source IP address, a source port, a destination IP address, a destination port, and mode information for the secondary blocking object.

실시 예에 따라, 상기 보안정책 검사부는, 상기 컨텐츠와 상기 컨텐츠 ID를 매칭하고, 상기 컨텐츠와 상기 컨텐츠 ID가 매칭되는 경우, 상기 컨텐츠를 포함하는 상기 패킷을 차단할 수 있다.According to an embodiment, the security policy checking unit may match the content with the content ID, and may block the packet including the content when the content matches the content ID.

실시 예에 따라, 상기 보안정책 검사부는, 상기 컨텐츠와 상기 컨텐츠 ID를 매칭하고, 상기 컨텐츠와 상기 컨텐츠 ID가 매칭되는 경우, 상기 패킷에 포함된 식별 정보와 상기 소스 IP 주소, 상기 소스 포트, 상기 목적지 IP 주소, 상기 목적지 포트, 및 상기 모드 정보를 매칭하고, 상기 식별 정보가 상기 소스 IP 주소, 상기 소스 포트, 상기 목적지 IP 주소, 상기 목적지 포트, 및 상기 모드 정보와 매칭되는 경우, 상기 패킷을 차단할 수 있다.According to an embodiment of the present invention, the security policy checking unit may match the content with the content ID, and when the content matches the content ID, the security policy checking unit may compare the identification information included in the packet and the source IP address, The destination IP address, the destination port, and the mode information, and when the identification information matches the source IP address, the source port, the destination IP address, the destination port, and the mode information, Can be blocked.

본 발명의 실시 예에 따른 방화벽 및 이의 패킷 처리 방법에 의하면, 유효한 것으로 판단된 패킷에 대해서만 선별적으로 컨텐츠 매칭을 수행함으로써, 모든 패킷의 컨텐츠를 인지할 필요없이 선택된 패킷에 대해서만 빠르게 악성 패킷 여부를 검사할 수 있다.According to the firewall and the packet processing method according to the embodiment of the present invention, content matching is selectively performed only on packets determined to be valid, so that it is possible to quickly determine whether or not the packet is a malicious packet, Can be inspected.

도 1은 본 발명의 실시 예에 따른 방화벽의 패킷 처리 방법을 설명하기 위한 개념도이다.
도 2는 본 발명의 실시 예에 따른 방화벽의 개략적인 블록도이다.
도 3은 본 발명의 실시 예에 따른 방화벽의 패킷 처리 방법을 설명하기 위한 순서도이다.
도 4는 본 발명의 다른 실시 예에 따른 방화벽의 패킷 처리 방법을 설명하기 위한 순서도이다.1 is a conceptual diagram for explaining a packet processing method of a firewall according to an embodiment of the present invention.
2 is a schematic block diagram of a firewall according to an embodiment of the present invention.
3 is a flowchart illustrating a method of processing a packet of a firewall according to an embodiment of the present invention.
4 is a flowchart illustrating a packet processing method of a firewall according to another embodiment of the present invention.

본 명세서에 개시되어 있는 본 발명의 개념에 따른 실시 예들에 대해서 특정한 구조적 또는 기능적 설명은 단지 본 발명의 개념에 따른 실시 예들을 설명하기 위한 목적으로 예시된 것으로서, 본 발명의 개념에 따른 실시 예들은 다양한 형태들로 실시될 수 있으며 본 명세서에 설명된 실시 예들에 한정되지 않는다.It is to be understood that the specific structural or functional description of embodiments of the present invention disclosed herein is for illustrative purposes only and is not intended to limit the scope of the inventive concept But may be embodied in many different forms and is not limited to the embodiments set forth herein.

본 발명의 개념에 따른 실시 예들은 다양한 변경들을 가할 수 있고 여러 가지 형태들을 가질 수 있으므로 실시 예들을 도면에 예시하고 본 명세서에서 상세하게 설명하고자 한다. 그러나, 이는 본 발명의 개념에 따른 실시 예들을 특정한 개시 형태들에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물, 또는 대체물을 포함한다.The embodiments according to the concept of the present invention can make various changes and can take various forms, so that the embodiments are illustrated in the drawings and described in detail herein. It should be understood, however, that it is not intended to limit the embodiments according to the concepts of the present invention to the particular forms disclosed, but includes all modifications, equivalents, or alternatives falling within the spirit and scope of the invention.

제1 또는 제2 등의 용어는 다양한 구성 요소들을 설명하는데 사용될 수 있지만, 상기 구성 요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성 요소를 다른 구성 요소로부터 구별하는 목적으로만, 예컨대 본 발명의 개념에 따른 권리 범위로부터 벗어나지 않은 채, 제1구성 요소는 제2구성 요소로 명명될 수 있고 유사하게 제2구성 요소는 제1구성 요소로도 명명될 수 있다.The terms first, second, etc. may be used to describe various elements, but the elements should not be limited by the terms. The terms may be named for the purpose of distinguishing one element from another, for example, without departing from the scope of the right according to the concept of the present invention, the first element may be referred to as a second element, The component may also be referred to as a first component.

본 명세서에서 사용한 용어는 단지 특정한 실시 예를 설명하기 위해 사용된 것으로서, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 명세서에서, "포함하다" 또는 "가지다" 등의 용어는 본 명세서에 기재된 특징, 숫자, 단계, 동작, 구성 요소, 부분품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성 요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.The terminology used herein is for the purpose of describing particular embodiments only and is not intended to be limiting of the invention. The singular expressions include plural expressions unless the context clearly dictates otherwise. In this specification, the terms "comprises" or "having" and the like are used to specify that there are features, numbers, steps, operations, elements, parts or combinations thereof described herein, But do not preclude the presence or addition of one or more other features, integers, steps, operations, components, parts, or combinations thereof.

다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 나타낸다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미를 갖는 것으로 해석되어야 하며, 본 명세서에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.Unless otherwise defined, all terms used herein, including technical or scientific terms, have the same meaning as commonly understood by one of ordinary skill in the art to which this invention belongs. Terms such as those defined in commonly used dictionaries are to be interpreted as having a meaning consistent with the meaning of the context in the relevant art and, unless explicitly defined herein, are to be interpreted as ideal or overly formal Do not.

본 명세서에서 방화벽이라 함은 본 발명의 실시 예에 따른 방법을 수행하기 위한 하드웨어 또는 상기 하드웨어를 구동할 수 있는 소프트웨어의 기능적 또는 구조적 결합을 의미할 수 있다. 따라서, 상기 모듈은 프로그램 코드와 상기 프로그램 코드를 수행할 수 있는 하드웨어 리소스(resource)의 논리적 단위 또는 집합을 의미할 수 있으며, 반드시 물리적으로 연결된 코드를 의미하거나 한 종류의 하드웨어를 의미하는 것은 아니다.As used herein, a firewall may refer to a functional or structural combination of hardware to perform a method according to an embodiment of the present invention or software that can drive the hardware. Accordingly, the module may refer to a logical unit or a set of hardware resources capable of executing the program code and the program code, and does not necessarily mean a physically connected code or a kind of hardware.

도 1은 본 발명의 실시 예에 따른 방화벽의 패킷 처리 방법을 설명하기 위한 개념도이고, 도 2는 본 발명의 실시 예에 따른 방화벽의 개략적인 블록도이다.FIG. 1 is a conceptual diagram for explaining a packet processing method of a firewall according to an embodiment of the present invention, and FIG. 2 is a schematic block diagram of a firewall according to an embodiment of the present invention.

도 1을 참조하면, 클라이언트(200)는 방화벽(100)과 접속되며, 방화벽(100)을 통해 서버(300)로부터 수신되는 패킷에 응답하여 동작을 수행할 수 있다.Referring to FIG. 1, a client 200 is connected to a firewall 100 and can perform an operation in response to a packet received from the server 300 through the firewall 100.

예컨대, 클라이언트(200)는 PC, 스마트 폰(smart phone), 태블릿(tablet) PC, 모바일 인터넷 장치(mobile internet device(MID)), 인터넷 태블릿, IoT(internet of things) 장치, IoE(internet of everything) 장치, 데스크 탑 컴퓨터(desktop computer), 랩탑(laptop) 컴퓨터, 워크스테이션 컴퓨터, 또는 PDA (personal digital assistant)를 의미할 수 있으나, 이에 한정되는 것은 아니다.For example, the client 200 may be a PC, a smart phone, a tablet PC, a mobile internet device (MID), an internet tablet, an Internet of things (IoE) ) Device, a desktop computer, a laptop computer, a workstation computer, or a personal digital assistant (PDA).

서버(300)는 네트워크(400)를 통해 방화벽(100)과 접속되고, 방화벽(100)을 통해 클라이언트(200)와 패킷을 송수신할 수 있다.The server 300 is connected to the firewall 100 through the network 400 and can send and receive packets with the client 200 through the firewall 100.

예컨대, 서버(300)는 DNS(domain name system) 서버, NTP(network time protocol) 서버, SSDP(simple service discovery protocol) 서버, P2P(peer to peer) 서버, 또는 SNMP(simple network management protocol) 서버, web 서버를 의미할 수 있으나, 이에 한정되는 것은 아니다.For example, the server 300 may include a domain name system (DNS) server, a network time protocol (NTP) server, a simple service discovery protocol (SSDP) server, a peer to peer (P2P) server, but is not limited to, a web server.

네트워크(400)는 유선 인터넷망, 무선 인터넷망, 또는 WiFi 네트워크를 의미할 수 있다.The network 400 may refer to a wired Internet network, a wireless Internet network, or a WiFi network.

방화벽(100)은 네트워크(400)를 통해 서버(300)와 연결되며, 복수의 클라이언트들(200)과 연결될 수 있다.The firewall 100 is connected to the server 300 through the network 400 and may be connected to the plurality of clients 200. [

방화벽(100)은 서버(300)와 클라이언트들(200) 사이에서 송수신되는 패킷(packet)들을 관리할 수 있다. 상기 패킷은 서버(300)로부터 네트워크(400)를 통해 방화벽(100)으로 전송된 하향 패킷일 수도 있고, 클라이언트들(200) 각각으로부터 방화벽(100)으로 전송된 상향 패킷일 수 있다.The firewall 100 can manage packets transmitted and received between the server 300 and the clients 200. [ The packet may be a downlink packet transmitted from the server 300 to the firewall 100 through the network 400 or an uplink packet transmitted from each of the clients 200 to the firewall 100.

다만, 이에 한정되지 않으며 클라이언트(200)로부터 방화벽(100)에 전송된 패킷이 상향 패킷이고, 서버(300)로부터 네트워크(400)를 통해 방화벽(100)으로 전송된 패킷이 하향 패킷일 수 있다.The packet transmitted from the client 200 to the firewall 100 is an uplink packet and the packet transmitted from the server 300 to the firewall 100 through the network 400 may be a downlink packet.

방화벽(100)은 기설정된 보안정책에 기초하여 네트워크(400)를 통해 수신된 패킷을 클라이언트(200)에 전달하거나 차단할 수 있다.The firewall 100 may forward or block the packet received through the network 400 to the client 200 based on a predetermined security policy.

특히, 방화벽(100)은 제1 보안정책을 이용하여 패킷의 차단 여부를 1차적으로 결정할 수 있다.In particular, the firewall 100 may primarily determine whether to block the packet using the first security policy.

여기서, 제1 보안정책은 1차 차단 대상의 5 튜플(TUPLE) 정보와 컨텐츠 차단 조건을 포함할 수 있다. 여기서, 제1 보안정책의 컨텐츠 차단 조건은 특정 컨텐츠 ID를 포함하지 않으며, 모든 컨텐츠 ID를 포함한다.Here, the first security policy may include five pieces of tuple information of a primary blocking object and a content blocking condition. Here, the content blocking condition of the first security policy does not include a specific content ID and includes all the content IDs.

따라서, 제1 보안정책의 컨텐츠 차단 조건이 모든 컨텐츠 ID를 포함하므로, 방화벽(100)은 패킷에 포함된 컨텐츠를 확인할 필요없이 1차 차단 대상에 대한 5 튜플 정보와 패킷의 식별정보를 매칭하여 차단 여부를 결정할 수 있다Therefore, since the content blocking condition of the first security policy includes all the content IDs, the firewall 100 does not need to check the content included in the packet and matches the 5-tuple information about the primary blocking object with the packet identification information I can decide whether or not

예컨대, 방화벽(100)은 1차 차단 대상에 대한 소스 IP 주소, 소스 포트, 목적지 IP 주소, 목적지 포트, 및 모드 정보와 패킷에 대한 소스 IP 주소, 소스 포트, 목적지 IP 주소, 목적지 포트, 및 모드 정보를 매칭하여 차단 여부를 결정할 수 있다.For example, the firewall 100 may include a source IP address, a source port, a destination IP address, a destination port, and mode information for a primary blocking object, a source IP address, a source port, a destination IP address, a destination port, The information can be matched to determine whether to block.

만약, 패킷에 포함된 식별정보가 1차 차단 대상에 대한 소스 IP 주소, 소스 포트, 목적지 IP 주소, 목적지 포트, 및 모드 정보와 모두 매칭되는 경우, 방화벽(100)은 상기 패킷을 차단 대상 패킷으로 판단할 수 있다. 방화벽(100)은 차단 대상 패킷이 클라이언트(200)에 전달되지 않도록 차단할 수 있다.If the identification information included in the packet matches both the source IP address, the source port, the destination IP address, the destination port, and the mode information for the primary blocking object, the firewall 100 sets the packet as a blocking object packet It can be judged. The firewall 100 may block the packet to be blocked from being transmitted to the client 200. [

한편, 패킷에 포함된 식별정보가 1차 차단 대상에 대한 소스 IP 주소, 소스 포트, 목적지 IP 주소, 목적지 포트, 및 모드 정보 중 적어도 하나와 매칭되지 않는 경우, 방화벽(100)은 상기 패킷을 유효한 것으로 판단할 수 있다. On the other hand, if the identification information included in the packet does not match at least one of the source IP address, the source port, the destination IP address, the destination port, and the mode information for the primary blocking object, .

패킷의 식별정보가 제1 보안정책에 5 튜플 정보에 매칭되지 않는 경우, 방화벽(100)은 패킷에 포함된 컨텐츠를 추출할 수 있다. If the identification information of the packet does not match the 5-tuple information in the first security policy, the firewall 100 can extract the content included in the packet.

즉, 방화벽(100)은 제1 보안정책에 따라 패킷의 차단 여부를 결정한 후, 전달이 허용된 패킷에 한하여, 제2 보안정책에 따라 패킷의 차단 여부를 2차적으로 결정할 수 있다.That is, the firewall 100 may determine whether to block the packet according to the first security policy, and then secondarily determine whether the packet is blocked according to the second security policy, only for the packet permitted to be transmitted.

여기서, 제2 보안정책은 2차 차단 대상의 5 튜플(TUPLE) 정보와 컨텐츠 ID 를 포함할 수 있다. Here, the second security policy may include five tuple information and a content ID of a secondary blocking object.

실시 예에 따라, 방화벽(100)은 패킷으로부터 추출된 컨텐츠와 2차 차단 대상의 컨텐츠 ID를 매칭하여 패킷의 차단 여부를 결정할 수 있다.According to the embodiment, the firewall 100 can determine whether to block the packet by matching the content extracted from the packet with the content ID of the secondary blocking object.

패킷으로부터 추출된 컨텐츠와 2차 차단 대상의 컨텐츠 ID가 매칭되지 않는 경우, 방화벽(100)은 상기 패킷을 유효한 것으로 판단할 수 있고, 2차적으로 인증된 상기 패킷을 클라이언트(200)에 전달할 수 있다.If the content extracted from the packet and the content ID of the secondary blocking object do not match, the firewall 100 can determine that the packet is valid and can transmit the secondarily authenticated packet to the client 200 .

반면, 패킷으로부터 추출된 컨텐츠와 2차 차단 대상의 컨텐츠 ID가 매칭되는 경우, 방화벽(100)은 상기 패킷을 차단 대상으로 판단할 수 있다. 방화벽(100)은 차단 대상 패킷이 클라이언트(200)에 전달되지 않도록 차단할 수 있다.On the other hand, if the content extracted from the packet and the content ID of the secondary blocking object are matched, the firewall 100 can determine that the packet is to be blocked. The firewall 100 may block the packet to be blocked from being transmitted to the client 200. [

다른 실시 예에 따라, 방화벽(100)은 패킷의 식별정보 및 컨텐츠와, 제2 보안정책의 5 튜플 정보 및 컨텐츠 ID을 이용하여 패킷의 차단 여부를 결정할 수 있다.According to another embodiment, the firewall 100 may determine whether to block the packet using the identification information and the content of the packet, the 5 tuple information and the content ID of the second security policy.

패킷으로부터 추출된 컨텐츠와 2차 차단 대상의 컨텐츠 ID가 매칭되지 않는 경우, 방화벽(100)은 상기 패킷을 유효한 것으로 판단할 수 있고, 2차적으로 인증된 상기 패킷을 클라이언트(200)에 전달할 수 있다.If the content extracted from the packet and the content ID of the secondary blocking object do not match, the firewall 100 can determine that the packet is valid and can transmit the secondarily authenticated packet to the client 200 .

만약, 패킷으로부터 추출된 컨텐츠와 2차 차단 대상의 컨텐츠 ID가 매칭되는 경우, 방화벽(100)은 추가적으로 상기 패킷에 포함된 식별 정보와 차단 대상에 대해 설정된 5 튜플 정보를 매칭할 수 있다.If the content extracted from the packet and the content ID of the secondary blocking object are matched, the firewall 100 may further match the 5-tuple information set for the blocking object with the identification information included in the packet.

이때, 패킷의 식별 정보가 2차 차단 대상에 대해 설정된 소스 IP 주소, 소스 포트, 목적지 IP 주소, 목적지 포트, 및 모드 정보 중 적어도 하나와 매칭되지 않는 경우, 방화벽(100)은 상기 패킷을 유효한 것으로 판단할 수 있고, 2차적으로 인증된 상기 패킷을 클라이언트(200)에 전달할 수 있다.At this time, if the identification information of the packet does not match at least one of the source IP address, the source port, the destination IP address, the destination port, and the mode information set for the secondary blocking object, the firewall 100 determines that the packet is valid And can transmit the second authenticated packet to the client 200.

반면, 패킷의 식별 정보가 2차 차단 대상에 대해 설정된 상기 소스 IP 주소, 상기 소스 포트, 상기 목적지 IP 주소, 상기 목적지 포트, 및 상기 모드 정보와 매칭되는 경우, 방화벽(100)은 상기 패킷을 차단 대상 패킷으로 판단할 수 있다. 방화벽은 차단 대상 패킷이 클라이언트(200)에 전달되지 않도록 차단할 수 있다.On the other hand, if the identification information of the packet matches the source IP address, the source port, the destination IP address, the destination port, and the mode information set for the secondary blocking object, the firewall 100 blocks It can be determined as a target packet. The firewall can block the packet to be blocked from being transmitted to the client 200. [

한편, 종래의 5 튜블 기반의 방화벽은 5 튜플 정보만을 이용하여 보안정책을 수립했기 때문에, 관리하고자 하는 서버가 많은 경우에 서버별로 하나 이상의 보안정책을 수립해야 했다. 따라서, 종래의 방화벽은 복잡성이 크고 가시성이 떨어지며 패킷의 위변조를 구분하기 어려웠다. Meanwhile, since the conventional 5-tile-based firewall has established a security policy using only 5 tuple information, when there are many servers to be managed, one or more security policies have to be established for each server. Therefore, the conventional firewall has high complexity, low visibility, and difficulty in distinguishing the forgery and corruption of the packet.

또한, 종래의 DPI 기술을 적용한 방화벽은 모든 패킷의 컨텐츠를 인지하고, 컨텐츠에 따른 보안정책을 처리해야 되기 때문에, 보안정책 처리시 딜레이가 심한 문제가 있었다.In addition, since the firewall using the conventional DPI technology recognizes the contents of all packets and processes the security policy according to the contents, there is a problem that the delay is serious when the security policy is processed.

하지만, 본 발명의 실시 예에 따른 방화벽(100)은 모든 컨텐츠 ID를 포함하는 컨텐츠 차단 조건과 5 튜플 정보를 포함하는 제1 보안정책을 이용하여 컨텐츠와 상관없이 1차적으로 차단 대상을 검사하고, 제1 보안정책에 의해 유효한 것으로 판단된 패킷에 대해서만 2차적으로 컨텐츠 매칭을 수행하는 2-스텝 검사 방법을 제공한다.However, the firewall 100 according to the exemplary embodiment of the present invention inspects a block object primarily irrespective of contents using a first security policy including content blocking conditions and five tuple information including all content IDs, Step checking method for performing content matching only for packets determined to be valid according to the first security policy.

즉, 본 발명의 실시 예에 따른 방화벽(100)은 유효한 것으로 판단된 패킷에 대해서만 선별적으로 컨텐츠 매칭을 수행함으로써, 모든 패킷의 컨텐츠를 인지할 필요없이 선택된 패킷에 대해서만 차단 여부를 2차적으로 검사할 수 있다.That is, the firewall 100 according to the embodiment of the present invention selectively performs content matching only on packets that are determined to be valid, thereby making it possible to perform a secondary checking can do.

따라서, 본 발명의 실시 예에 따른 방화벽(100)은 종래의 방화벽 장치에 비해 빠른 속도로 패킷의 차단 여부를 결정할 수 있다.Therefore, the firewall 100 according to the embodiment of the present invention can determine whether to block the packet at a faster rate than the conventional firewall device.

도 1에서는 방화벽(100)이 클라이언트(200) 외부의 별도의 장치로 도시되어 있으나, 이에 한정되지 않으며 방화벽(100)은 클라이언트(200) 내부에서 별도의 소프트웨어로서 동작될 수 있다.In FIG. 1, the firewall 100 is shown as a separate device outside the client 200, but the firewall 100 is not limited thereto. The firewall 100 may be operated as separate software in the client 200.

도 2를 참조하면, 세션 관리부(110), 보안정책 검사부(120), 및 컨텐츠 인지부(130)를 포함하는 방화벽(100)이 도시되어 있다.Referring to FIG. 2, a firewall 100 including a session management unit 110, a security policy checking unit 120, and a content recognition unit 130 is illustrated.

세션 관리부(110)는 네트워크를 통해 패킷(PK)을 수신하고, 세션 관리에 의해 패킷(PK)의 유효성을 판단할 수 있다.The session management unit 110 may receive the packet PK through the network and determine the validity of the packet PK by session management.

예컨대, 세션 관리부(110)는 http 세션을 이용하거나, 쿠키(cookie)를 이용하여 패킷(PK)의 유효성을 판단할 수 있다. 다만, 세션 관리부(110)의 기능이 이에 한정되지 않으며 다양하게 변형실시 될 수 있다.For example, the session management unit 110 can determine the validity of the packet PK by using an http session or using a cookie. However, the function of the session management unit 110 is not limited thereto and can be variously modified.

보안정책 검사부(120)는 제1 보안정책에 따라 패킷(PK)에 포함된 컨텐츠(CI)와 상관없이 차단 여부를 1차적으로 결정할 수 있고, 제2 보안정책에 따라 패킷(PK)에 포함된 컨텐츠(CI)에 기초하여 차단 여부를 2차적으로 결정할 수 있다.The security policy checking unit 120 can primarily determine whether to block the content (CI) included in the packet PK according to the first security policy, It is possible to secondarily determine whether or not to block based on the content (CI).

제1 보안정책의 컨텐츠 차단 조건이 모든 컨텐츠 ID를 포함하므로, 보안정책 검사부(120)는 패킷에 포함된 컨텐츠와 상관없이 1차 차단 대상에 대한 5 튜플 정보와 패킷의 식별정보를 매칭할 수 있고, 매칭결과에 따라 패킷(PK)을 차단하거나 유효한 것으로 1차적으로 인증할 수 있다.Since the content blocking condition of the first security policy includes all the content IDs, the security policy checking unit 120 may match the 5-tuple information on the primary blocking object with the identification information of the packet irrespective of the content included in the packet , The packet PK may be blocked or authenticated primarily as valid according to the matching result.

컨텐츠 인지부(130)는 보안정책 검사부(120)에 의해 1차적으로 인증된 패킷(PK)으로부터 컨텐츠(CI)를 추출할 수 있고, 패킷(PK)으로부터 추출된 컨텐츠(CI)를 보안정책 검사부(120)에 제공할 수 있다.The content recognition unit 130 can extract the content CI from the PK that is primarily authenticated by the security policy checking unit 120 and can extract the content CI extracted from the PK, (120).

실시 예에 따라, 컨텐츠 인지부(130)는 시그니처 패턴 매칭을 통해 패킷(PK)에 포함된 컨텐츠(CI)를 추출할 수 있다.According to an embodiment, the content recognition unit 130 can extract the content (CI) included in the packet PK through signature pattern matching.

예컨대, 컨텐츠 인지부(130)는 패킷(PK)에 포함된 웹페이지를 추출하고, 추출된 웹페이지를 파싱하여 URL을 추출할 수 있다. 컨텐츠 인지부(130)는 추출된 URL과 미리 저장된 URL의 시그니처 패턴 매칭을 수행하여 해당 패킷(PK)의 출처를 식별할 수 있다. 다만, 컨텐츠 인지부(130)가 패킷(PK)에 포함된 컨텐츠(CI)를 식별하는 방법은 이에 한정되지 않으며 다양하게 변형실시될 수 있다.For example, the content recognition unit 130 may extract a web page included in the packet PK and extract the URL by parsing the extracted web page. The content recognition unit 130 can identify the source of the packet PK by performing signature pattern matching between the extracted URL and a URL stored in advance. However, the method of identifying the content (CI) included in the packet PK by the content recognition unit 130 is not limited thereto and can be variously modified.

보안정책 검사부(120)는 패킷(PK)에 포함된 컨텐츠(CI)와 제2 보안정책에 포함된 컨텐츠 ID를 매칭할 수 있고, 매칭결과에 따라 패킷(PK)을 차단하거나 유효한 것으로 2차적으로 인증할 수 있다.The security policy checking unit 120 may match the content ID included in the packet PK with the content ID included in the second security policy and may block the packet PK according to the matching result, You can authenticate.

보안정책 검사부(120)는 2차적으로 인증된 패킷(PK)만을 클리이언트(200)에 제공할 수 있다.The security policy checking unit 120 can provide only the secondarily authenticated packet PK to the client 200. [

도 3은 본 발명의 실시 예에 따른 방화벽의 패킷 처리 방법을 설명하기 위한 순서도이다.3 is a flowchart illustrating a method of processing a packet of a firewall according to an embodiment of the present invention.

도 3을 참조하면, 방화벽(100)은 네트워크(400)로부터 패킷(PK)이 수신되면, 세션관리에 의해 패킷(PK)의 유효성을 판단할 수 있고, 유효성이 인증된 패킷(PK)만을 수신하고, 유효하지 않은 패킷(PK)을 차단할 수 있다(S100).Referring to FIG. 3, when a packet PK is received from the network 400, the firewall 100 can determine the validity of the packet PK by session management, and only the packet PK whose validity is authenticated is received , And blocks an invalid packet (PK) (S100).

방화벽(100)은 패킷(PK)의 식별정보와 제1 보안정책에 포함된 1차 차단 대상의 5 튜플 정보를 서로 매칭할 수 있다(S110).The firewall 100 may match the identification information of the packet PK with the 5 tuple information of the primary blocking object included in the first security policy at step S110.

만약, 패킷(PK)의 식별정보가 1차 차단 대상의 5 튜플 정보와 매칭되는 경우, 방화벽(100)은 패킷(PK)을 차단 대상 패킷으로 판단하고, 패킷(PK)이 클라이언트(200)에 전달되지 않도록 차단할 수 있다(S150).If the identification information of the packet PK matches the 5 tuple information of the primary blocking object, the firewall 100 judges the packet PK as the blocking object packet, and the packet PK is sent to the client 200 (S150).

반면, 패킷(PK)의 식별정보가 1차 차단 대상의 5 튜플 정보와 매칭되지 않는 경우, 방화벽(100)은 패킷(PK)을 유효한 것으로 판단하고, 패킷(PK)으로부터 컨텐츠(CI)를 추출할 수 있다(S120).On the other hand, if the identification information of the packet PK does not match the 5 tuple information of the primary blocking object, the firewall 100 judges that the packet PK is valid and extracts the content CI from the packet PK (S120).

방화벽(100)은 패킷(PK)의 컨텐츠(CI)와 제2 보안정책에 포함된 컨텐츠 ID를 서로 매칭할 수 있다(S130).The firewall 100 may match the content (CI) of the packet (PK) with the content ID included in the second security policy (S130).

만약, 패킷(PK)의 컨텐츠(CI)와 제2 보안정책에 포함된 컨텐츠 ID가 매칭되는 경우, 방화벽(100)은 패킷(PK)을 차단 대상 패킷으로 판단하고, 패킷(PK)이 클라이언트(200)에 전달되지 않도록 차단할 수 있다(S150).If the content CI of the packet PK matches the content ID included in the second security policy, the firewall 100 determines that the packet PK is a blocking object packet, 200) (S150).

반면, 패킷(PK)의 컨텐츠(CI)와 제2 보안정책에 포함된 컨텐츠 ID가 매칭되지 않는 경우, 방화벽(100)은 패킷(PK)을 유효한 것으로 판단하고, 패킷(PK)을 클라이언트(200)에 전달할 수 있다(S140).On the other hand, if the content CI of the packet PK does not match the content ID included in the second security policy, the firewall 100 determines that the packet PK is valid and transmits the packet PK to the client 200 (S140).

도 4는 본 발명의 다른 실시 예에 따른 방화벽의 패킷 처리 방법을 설명하기 위한 순서도이다.4 is a flowchart illustrating a packet processing method of a firewall according to another embodiment of the present invention.

도 4를 참조하면, 방화벽(100)은 네트워크(400)로부터 패킷(PK)이 수신되면, 세션관리에 의해 패킷(PK)의 유효성을 판단할 수 있고, 유효성이 인증된 패킷(PK)만을 수신하고, 유효하지 않은 패킷(PK)을 차단할 수 있다(S100).Referring to FIG. 4, when a packet PK is received from the network 400, the firewall 100 can determine the validity of the packet PK by session management, and only the packet PK whose validity is authenticated is received , And blocks an invalid packet (PK) (S100).

방화벽(100)은 패킷(PK)의 식별정보와 제1 보안정책에 포함된 1차 차단 대상의 5 튜플 정보를 서로 매칭할 수 있다(S110).The firewall 100 may match the identification information of the packet PK with the 5 tuple information of the primary blocking object included in the first security policy at step S110.

만약, 패킷(PK)의 식별정보가 1차 차단 대상의 5 튜플 정보와 매칭되는 경우, 방화벽(100)은 패킷(PK)을 차단 대상 패킷으로 판단하고, 패킷(PK)이 클라이언트(200)에 전달되지 않도록 차단할 수 있다(S150).If the identification information of the packet PK matches the 5 tuple information of the primary blocking object, the firewall 100 judges the packet PK as the blocking object packet, and the packet PK is sent to the client 200 (S150).

반면, 패킷(PK)의 식별정보가 1차 차단 대상의 5 튜플 정보와 매칭되지 않는 경우, 방화벽(100)은 패킷(PK)을 유효한 것으로 판단하고, 패킷(PK)으로부터 컨텐츠(CI)를 추출할 수 있다(S120).On the other hand, if the identification information of the packet PK does not match the 5 tuple information of the primary blocking object, the firewall 100 judges that the packet PK is valid and extracts the content CI from the packet PK (S120).

방화벽(100)은 패킷(PK)의 컨텐츠(CI)와 제2 보안정책에 포함된 컨텐츠 차단 조건을 서로 매칭할 수 있다(S130).The firewall 100 may match the content CI of the packet PK with the content blocking condition included in the second security policy at step S130.

만약, 패킷(PK)의 컨텐츠(CI)와 제2 보안정책에 포함된 컨텐츠 ID가 매칭되는 경우, 방화벽은 추가적으로 패킷(PK)의 식별정보와 제2 보안정책에 포함된 2차 차단 대상의 5 튜플 정보와 서로 매칭할 수 있다(S130-1).If the content (CI) of the packet PK matches the content ID included in the second security policy, the firewall further identifies the identification information of the packet (PK) And can match each other with the tuple information (S130-1).

패킷(PK)의 식별정보와 제2 보안정책에 포함된 5 튜플 정보가 서로 매칭되는 경우, 방화벽(100)은 패킷(PK)을 차단 대상 패킷으로 판단하고, 패킷(PK)이 클라이언트(200)에 전달되지 않도록 차단할 수 있다(S150).When the identification information of the packet PK and the 5 tuple information included in the second security policy match each other, the firewall 100 judges that the packet PK is a blocking object packet, (S150).

반면, 패킷(PK)의 식별정보와 제2 보안정책에 포함된 5 튜플 정보가 서로 매칭되지 않는 경우, 방화벽(100)은 패킷(PK)을 유효한 것으로 판단하고, 패킷(PK)을 클라이언트(200)에 전달할 수 있다(S140).On the other hand, if the identification information of the packet PK and the 5 tuple information included in the second security policy do not match each other, the firewall 100 judges that the packet PK is valid and transmits the packet PK to the client 200 (S140).

본 발명은 도면에 도시된 실시 예를 참고로 설명되었으나 이는 예시적인 것에 불과하며, 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시 예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호 범위는 첨부된 등록청구범위의 기술적 사상에 의해 정해져야 할 것이다.While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is evident that many alternatives, modifications and variations will be apparent to those skilled in the art. Accordingly, the true scope of the present invention should be determined by the technical idea of the appended claims.

100: 방화벽
110: 세션 관리부
120: 보안정책 검사부
130: 컨텐츠 인지부
200: 클라이언트
300: 서버
400: 네트워크100: Firewall
110:
120: Security policy checker
130:
200: Client
300: server
400: Network

Claims (15)

패킷이 수신되면, 모든 컨텐츠 ID를 포함하는 컨텐츠 차단 조건과 1차 차단 대상의 5 튜플(5 TUPLE) 정보를 포함하는 제1 보안정책에 따라 상기 패킷의 차단 여부를 1차적으로 결정하는 단계;
상기 제1 보안정책에 의해 전달이 허용된 패킷에 한하여 상기 패킷에 포함된 컨텐츠를 추출하는 단계; 및
상기 컨텐츠와 제2 보안정책에 포함된 2차 차단 대상의 컨텐츠 ID를 매칭하여 상기 패킷의 차단 여부를 2차적으로 결정하는 단계를 포함하는 방화벽의 패킷 처리 방법.Determining whether the packet is blocked according to a first security policy including a content blocking condition including all content IDs and five tuple information of a first blocking target when the packet is received;
Extracting a content included in the packet only for a packet permitted to be transmitted according to the first security policy; And
And secondarily determining whether to block the content by matching a content ID of a secondary blocking object included in the second security policy with the content. 제1항에 있어서, 상기 패킷의 차단 여부를 1차적으로 결정하는 단계는,
세션 관리를 통해 상기 패킷이 유효한 것으로 인증되면 수행되는 방화벽의 패킷 처리 방법.2. The method of claim 1, wherein the step of primarily determining whether to block the packet comprises:
And if the packet is authenticated as being valid through session management. 제1항에 있어서,
상기 제1 보안정책은 상기 1차 차단 대상에 대한 소스 IP 주소, 소스 포트, 목적지 IP 주소, 목적지 포트, 모드 정보, 및 상기 모든 컨텐츠 ID를 포함하는 상기 컨텐츠 차단 조건을 포함하는 방화벽의 패킷 처리 방법.The method according to claim 1,
Wherein the first security policy includes a content blocking condition including a content blocking condition including a source IP address, a source port, a destination IP address, a destination port, mode information, and all the content IDs for the primary blocking object . 제3항에 있어서, 상기 패킷의 차단 여부를 1차적으로 결정하는 단계는,
상기 패킷에 포함된 상기 컨텐츠와 상관없이, 상기 패킷에 포함된 식별 정보가 상기 소스 IP 주소, 상기 소스 포트, 상기 목적지 IP 주소, 상기 목적지 포트, 및 상기 모드 정보와 매칭되는 경우, 상기 패킷을 차단하는 방화벽의 패킷 처리 방법.4. The method of claim 3, wherein the step of primarily determining whether to block the packet comprises:
When the identification information included in the packet is matched with the source IP address, the source port, the destination IP address, the destination port, and the mode information regardless of the content included in the packet, A method of processing a packet in a firewall. 제1항에 있어서,
상기 제2 보안정책은 상기 2차 차단 대상의 상기 컨텐츠 ID와, 상기 2차 차단 대상에 대한 소스 IP 주소, 소스 포트, 목적지 IP 주소, 목적지 포트, 및 모드 정보를 포함하는 방화벽의 패킷 처리 방법.The method according to claim 1,
Wherein the second security policy includes the content ID of the secondary blocking object and a source IP address, a source port, a destination IP address, a destination port, and mode information for the secondary blocking object. 제5항에 있어서, 상기 패킷의 차단 여부를 2차적으로 결정하는 단계는,
상기 컨텐츠와 상기 컨텐츠 ID가 매칭되지 않는 경우, 상기 패킷을 허용하는 방화벽의 패킷 처리 방법.6. The method of claim 5, wherein the step of secondarily determining whether to block the packet comprises:
And allowing the packet if the content and the content ID do not match. 제5항에 있어서, 상기 패킷의 차단 여부를 2차적으로 결정하는 단계는,
상기 컨텐츠가 상기 컨텐츠 ID가 매칭되는 경우, 상기 컨텐츠를 포함하는 상기 패킷을 차단하는 방화벽의 패킷 처리 방법.6. The method of claim 5, wherein the step of secondarily determining whether to block the packet comprises:
And if the content matches the content ID, blocks the packet including the content. 제5항에 있어서, 상기 패킷의 차단 여부를 2차적으로 결정하는 단계는,
상기 컨텐츠와 상기 컨텐츠 ID가 매칭되는 경우, 상기 패킷에 포함된 식별 정보와 상기 소스 IP 주소, 상기 소스 포트, 상기 목적지 IP 주소, 상기 목적지 포트, 및 상기 모드 정보를 매칭하고,
상기 식별 정보가 상기 소스 IP 주소, 상기 소스 포트, 상기 목적지 IP 주소, 상기 목적지 포트, 및 상기 모드 정보와 매칭되는 경우, 상기 패킷을 차단하는 방화벽의 패킷 처리 방법.6. The method of claim 5, wherein the step of secondarily determining whether to block the packet comprises:
The source IP address, the destination IP address, the destination port, and the mode information included in the packet if the content matches the content ID,
And blocking the packet if the identification information matches the source IP address, the source port, the destination IP address, the destination port, and the mode information. 모든 컨텐츠 ID를 포함하는 컨텐츠 차단 조건 및 1차 차단 대상의 5 튜플 정보를 포함하는 제1 보안정책과, 2차 차단 대상의 컨텐츠 ID를 포함하는 제2 보안정책에 따라, 패킷의 차단 여부를 결정하는 보안정책 검사부; 및
상기 패킷에 포함된 컨텐츠를 추출하는 컨텐츠 인지부를 포함하고,
상기 보안정책 검사부는, 상기 제1 보안정책에 따라 상기 패킷의 차단 여부를 결정한 후, 전달이 허용된 패킷에 한하여 상기 제2 보안정책에 따라 상기 패킷의 차단 여부를 결정하는 방화벽.Determines whether to block the packet according to a first security policy including a content blocking condition including all content IDs and five tuple information of a primary blocking target and a second security policy including a content ID of a secondary blocking target A security policy checking unit; And
And a contents recognition unit for extracting contents included in the packet,
Wherein the security policy checking unit determines whether to block the packet according to the first security policy, and then determines whether to block the packet according to the second security policy only for a packet permitted to be transmitted. 제9항에 있어서,
상기 패킷의 유효성을 판단하여 유효한 것으로 인증된 패킷만을 상기 보안정책 검사부에 제공하는 세션관리부를 더 포함하는 방화벽.10. The method of claim 9,
And a session management unit for determining the validity of the packet and providing only the packet authenticated as valid to the security policy checking unit. 제9항에 있어서,
상기 제1 보안정책은 상기 1차 차단 대상에 대한 소스 IP 주소, 소스 포트, 목적지 IP 주소, 목적지 포트, 모드 정보, 및 상기 모든 컨텐츠 ID를 포함하는 상기 컨텐츠 차단 조건을 포함하는 방화벽.10. The method of claim 9,
Wherein the first security policy includes the content blocking condition including a source IP address, a source port, a destination IP address, a destination port, mode information, and all the content IDs for the primary blocking object. 제11항에 있어서, 상기 보안정책 검사부는,
상기 패킷에 포함된 식별 정보와 상기 제1 보안정책을 매칭하고,
상기 식별 정보와 상기 제1 보안정책이 매칭되는 경우, 상기 패킷을 차단하는 방화벽.12. The security policy checking system according to claim 11,
The identification information included in the packet is matched with the first security policy,
And for blocking the packet if the identification information matches the first security policy. 제9항에 있어서,
상기 제2 보안정책은 상기 2차 차단 대상에 대한 소스 IP 주소, 소스 포트, 목적지 IP 주소, 목적지 포트, 및 모드 정보를 더 포함하는 방화벽.10. The method of claim 9,
Wherein the second security policy further comprises a source IP address, a source port, a destination IP address, a destination port, and mode information for the secondary blocking object. 제13항에 있어서, 상기 보안정책 검사부는,
상기 컨텐츠와 상기 컨텐츠 ID를 매칭하고,
상기 컨텐츠와 상기 컨텐츠 ID가 매칭되는 경우, 상기 컨텐츠를 포함하는 상기 패킷을 차단하는 방화벽.14. The security policy checking system according to claim 13,
The content and the content ID are matched,
And blocks the packet including the content when the content matches the content ID. 제13항에 있어서, 상기 보안정책 검사부는,
상기 컨텐츠와 상기 컨텐츠 ID를 매칭하고,
상기 컨텐츠와 상기 컨텐츠 ID가 매칭되는 경우, 상기 패킷에 포함된 식별 정보와 상기 소스 IP 주소, 상기 소스 포트, 상기 목적지 IP 주소, 상기 목적지 포트, 및 상기 모드 정보를 매칭하고,
상기 식별 정보가 상기 소스 IP 주소, 상기 소스 포트, 상기 목적지 IP 주소, 상기 목적지 포트, 및 상기 모드 정보와 매칭되는 경우, 상기 패킷을 차단하는 방화벽.
14. The security policy checking system according to claim 13,
The content and the content ID are matched,
The source IP address, the destination IP address, the destination port, and the mode information included in the packet if the content matches the content ID,
And blocks the packet if the identification information matches the source IP address, the source port, the destination IP address, the destination port, and the mode information.
KR1020170029601A 2017-03-08 2017-03-08 Firewall and processing method for packet thereof KR20180102884A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170029601A KR20180102884A (en) 2017-03-08 2017-03-08 Firewall and processing method for packet thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170029601A KR20180102884A (en) 2017-03-08 2017-03-08 Firewall and processing method for packet thereof

Publications (1)

Publication Number Publication Date
KR20180102884A true KR20180102884A (en) 2018-09-18

Family

ID=63718697

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170029601A KR20180102884A (en) 2017-03-08 2017-03-08 Firewall and processing method for packet thereof

Country Status (1)

Country Link
KR (1) KR20180102884A (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102312019B1 (en) * 2020-10-20 2021-10-12 현대오토에버 주식회사 Firewall control device and firewall policy management system including the same

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102312019B1 (en) * 2020-10-20 2021-10-12 현대오토에버 주식회사 Firewall control device and firewall policy management system including the same

Similar Documents

Publication Publication Date Title
US11082436B1 (en) System and method for offloading packet processing and static analysis operations
Ndatinya et al. Network forensics analysis using Wireshark
Izhikevich et al. {LZR}: Identifying unexpected internet services
KR101054705B1 (en) Method and apparatus for detecting port scans with counterfeit source addresses
US9237168B2 (en) Transport layer security traffic control using service name identification
US9712490B1 (en) Identifying applications for intrusion detection systems
US8661522B2 (en) Method and apparatus for probabilistic matching to authenticate hosts during distributed denial of service attack
US20050166049A1 (en) Upper-level protocol authentication
US8181237B2 (en) Method for improving security of computer networks
JP7388613B2 (en) Packet processing method and apparatus, device, and computer readable storage medium
US20180131717A1 (en) Apparatus and method for detecting distributed reflection denial of service attack
JP6435695B2 (en) Controller and its attacker detection method
KR20140122044A (en) Apparatus and method for detecting slow read dos
US11784993B2 (en) Cross site request forgery (CSRF) protection for web browsers
KR20180102884A (en) Firewall and processing method for packet thereof
JP4391455B2 (en) Unauthorized access detection system and program for DDoS attack
Djalaliev et al. Sentinel: hardware-accelerated mitigation of bot-based DDoS attacks
KR101196325B1 (en) Distributed denial of service attack search apparatus and method thereof
US10182071B2 (en) Probabilistic tracking of host characteristics
EP3432544A1 (en) System and method of determining ddos attacks
KR101812732B1 (en) Security device and operating method thereof
KR101231801B1 (en) Method and apparatus for protecting application layer in network
Huber Host-based systemic network obfuscation system for windows
US10505971B1 (en) Protecting local network devices against attacks from remote network devices
Andrews Evaluating the Proliferation and Pervasiveness of Leaking Sensitive Data in the Secure Shell Protocol and in Internet Protocol Camera Frameworks

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E601 Decision to refuse application